Problème proxy ClearOS en DMZ

Forum traitant de la distribution ClarkConnect. ClarkConnect est une distribution Linux destiné à transformer un simple PC en un routeur/firewall avec certaines fonctions de serveur internet (Web,Mail,FTP....).

Modérateur: modos Ixus

Problème proxy ClearOS en DMZ

Messagepar Franky05 » 13 Juil 2010 17:25

Bonjour à tous,

Afin d'améliorer un peu mon réseau, j'ai décidé qu'à la rentrée il y aurait une machine dédiée faisant office de proxy et celle-ci se situerait en DMZ. Je bosse avec IPCop et mon réseau se découpe en trois zones : green, orange et red.
Mon choix, pour des raisons pratiques, s'est porté sur l'installation de ClearOS en tant que proxy filtrant (Dansguardian).

Adressage :

- green : 192.168.1.x
- orange : 192.168.2.x
- red : 192.168.0.x

ClearOS est en 192.168.2.4 et lorsque je paramètre le navigateur internet d'un poste situé en zone Green (IP : 192.168.2.4 ; port : 8080) je ne peux plus surfer. J'obtiens invariablement une page ClearOS me disant que le mandataire web a détecté un problème et un message d'alerte me disant accès interdit.
Si je passe ClearOS en zone Green aucun problème, je mets un serveur SME + Dansguardian, aucun problème. Donc mon problème si situe au niveau de la gestion des réseaux locaux. Sur SME server il est possible de rajouter l'accès à différents services (tel le proxy par exemple) à différents réseaux locaux mais qu'en est-il sur ClearOS ?? Je n'ai pas trouvé le paramétrage permettant ce genre de réglage.

Si quelqu'un a déjà eu ce genre de configuration a traiter et trouvé la solution, je suis preneur.

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Messagepar Titofe » 13 Juil 2010 18:42

Bonjours,

Comme ton réseau Green ne ce trouve pas dans le même réseau que ton Proxy qui ce trouve en DMZ, il faut que tu rajoute dans squid.conf le réseau green pour qui puisse l'utilisé.

Une p'tit aide : acl

Cdt,
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar Franky05 » 14 Juil 2010 16:22

Bonjour,

Merci de me répondre. Alors voilà ce que j'ai rajouté dans mon squid.conf :

- dans # ACCESS CONTROLS j'ai rajouté :

acl localsrc src 192.168.1.0/255.255.255.0
acl localdst dst 192.168.1.0/255.255.255.0


- dans # TAG: http_access j'ai rajouté :


http_access allow localsrc


Voilà, ça fonctionne bien à présent mais je ne suis pas certain de tout ce que j'ai fait (syntaxe, oublis, etc etc....)

Cdt.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Messagepar Titofe » 14 Juil 2010 19:57

Cela me parait bien, par contre je ne vois pas le besoin de acl localdst dst 192.168.1.0/255.255.255.0 et j'aurai écrie le masque /24 au lieu de 255.255.255.0, question de lecture... :wink:
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar Franky05 » 15 Juil 2010 00:35

Bonjour,

Oui tout a fait d'accord avec le 24 à la place du 255.255.255.0, pour ce qui est de acl localdst dst 192.168.1.0/255.255.255.0 j'ai suivi la structure du squid.conf de ClearOS.

Par contre j'ai un dernier petit problème : le proxy me refuse l'accès à l'interface de configuration de mon IPCop dont l'url est https://192.168.1.2:4445. Dans les acl de squid j'ai vu que l'on pouvait paramétrer des ports mais j'ai eu beau autoriser le port 4445, je me fais jeter à chaque fois....Une idée ??

Cdt.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Messagepar Titofe » 15 Juil 2010 09:11

Oui, un minimum de réflexion et de recherche :arrow: :wink:
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar jdh » 15 Juil 2010 12:19

Si on réfléchit un peu à Squid, on comprend que la source doit être autorisée (d'ou acl src + allow).
Et la source naturelle est le réseau de la machine, c'est à dire la dmz, et donc pas le réseau Green, et donc il faut l'ajouter.

C'est un raisonnement logique.

Il faut aussi se poser les bonnes questions pour l'interface d'administration ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Titofe » 15 Juil 2010 18:49

Moi , j'ai pris ma p'tite boule de cristal :shock: qui ma dit que tu avais BOT d'installer =D> sur ton IPCop et comme tu fait les chose bien tu a activer l'accès d'Admin par une seul adresse MAC. :-ooo:

Donc si tu fait une recherche dans mon post précédent , tu trouvera un lien qui t'expliquera ce qui faut faire pour qu'IPCop reconnaisse l'adresse MAC.

Je suis trop fort avec ma boule... \:D/ :-ooo:
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar Franky05 » 16 Juil 2010 01:13

Bonsoir,

Concernant BOT, je l'ai en effet installé, paramétré et donc rentré l'adresse MAC. Quand je n'ai pu me connecté à l'interface c'est à elle que j'ai pensé tout de suite. J'ai donc rentré une deuxième adresse MAC en suivant le tuto du site de BOT (celle de mon pc de test en zone green) et pareil (idem en désactivant BOT).

Concernant squid j'ai essayé :

- acl SSL_ports port 4445

- acl Safe_ports port 4445 # https


- acl SSL_ports port 443 4445


- acl Safe_ports port 443 4445 # https

- commenté : http_access deny CONNECT !SSL_ports puis http_access deny !Safe_ports

Enfin bon c'est pas ça quoi.......les modifs sur le port ne fonctionnent pas car je pense que ça ne concerne pas la bonne zone (Green en l'occurrence).

Bon, ce n'est pas grave, je paramètrerai firefox pour qu'il n'utilise pas le proxy uniquement pour accéder à IPCop sur le pc qui administrera IPCop.

Merci pour votre aide.

Cordialement.

Frank.

P.S. : j'ai changé les paramétrages cités dans mon deuxième message en :

acl our_networks src 192.168.1.0/24 192.168.2.0/24
http_access allow our_networks


et l'accès au net se fait aussi bien.....
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Messagepar Titofe » 16 Juil 2010 08:25

Titofe a écrit:Moi , j'ai pris ma p'tite boule de cristal :shock: qui ma dit que tu avais BOT d'installer =D> sur ton IPCop et comme tu fait les chose bien tu a activer l'accès d'Admin par une seul adresse MAC. :-ooo:

Donc si tu fait une recherche dans mon post précédent , tu trouvera un lien qui t'expliquera ce qui faut faire pour qu'IPCop reconnaisse l'adresse MAC.

Je suis trop fort avec ma boule... \:D/ :-ooo:
Ce que je n'ai pas dit dans ce post, mais que je pensais que tu avais déjà compris, ton proxy ClearOS ce trouve dans la zone Orange de ton IPCop et toi à travers ton proxy tu veux atteindre l'interface de la zone Green d'IPCop, fort heureusement cela ne fonctionne pas et il ne faut surtout pas que cela fonctionne.

Donc que faut il faire?
Franky05 a écrit:... je paramètrerai firefox pour qu'il n'utilise pas le proxy uniquement pour accéder à IPCop sur le pc qui administrera IPCop.
Ceci est une solution, sinon si tu avais suivi le lien qui ce cache derrière mon 'Smilies :wink: ' de mon troisième post, tu aurai trouver comment le faire depuis ton proxy.

Ce problème ce posera pour d'autre serveur qui ce trouve sur Green (si tu ai amené à y accédé par ton navigateur).
jdh a écrit:Si on réfléchit un peu à Squid, on comprend que la source doit être autorisée (d'ou acl src + allow).
Et la source naturelle est le réseau de la machine, c'est à dire la dmz, et donc pas le réseau Green, et donc il faut l'ajouter.
Et comme tu peux le voir, jdh te l'avais déjà soufflé.

Cdt,
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Messagepar Franky05 » 16 Juil 2010 09:54

Bonjour,

ce que je n'ai pas dit dans ce post, mais que je pensais que tu avais déjà compris, ton proxy ClearOS ce trouve dans la zone Orange de ton IPCop et toi à travers ton proxy tu veux atteindre l'interface de la zone Green d'IPCop, fort heureusement cela ne fonctionne pas et il ne faut surtout pas que cela fonctionne.


Merci, ça je pense avoir compris maintenant....Je pense avoir fais quelques pas tout de même dans la résolution de mon problème pourtant tu constateras que concernant l'accès à l'interface je ne vois absolument pas la solution (même en suivant ton lien, même en suivant les conseils avisés, etc etc.....) donc ce n'est ABSOLUMENT pas grave, laisse tomber je trouverai bien un de ces quatre.

Cdt.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Messagepar jdh » 16 Juil 2010 09:58

En général, quand on utilise un proxy, on configure chaque poste pour utiliser le proxy SAUF pour les machines internes.

Ce faisant, un pc en Green pourra accéder à l'interface web de l'ipcop sans passer par le proxy en zone Orange (Dmz).

Cela parait logique si on estime que le rôle du proxy est surtout de faire du cache sur la liaison "lente" (=la liaison Internet), et si on pense que les logiciels de navigation (IE ou FF) ont déjà un cache qui conviendra bien pour les serveurs web locaux.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Franky05 » 16 Juil 2010 10:18

Bonjour,

jdh a écrit:En général, quand on utilise un proxy, on configure chaque poste pour utiliser le proxy SAUF pour les machines internes.

Ce faisant, un pc en Green pourra accéder à l'interface web de l'ipcop sans passer par le proxy en zone Orange (Dmz).


oui, c'est vrai mais j'aurai bien voulu savoir faire quand même.

Rien à voir avec le proxy maintenant mais est-ce que je pourrai te communiquer mes paramétrages BOT par mp pour connaître la pertinence (ou non) de ces derniers stp ?

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13

Messagepar Titofe » 16 Juil 2010 11:38

Franky05 a écrit:... j'aurai bien voulu savoir faire quand même.
Ce qu'il fallait faire est ce que tu à fait.

Si le proxy est en mode transparent, tu créer les règles de Bypass sur celui là.

Par contre si le proxy est en mode non-transparent (ce qui est ton cas), tu créer les règles de Bypass sur les navigateurs de tes PC (Ce que tu à fait).

Je ne voulais pas te donner une réponse toute cuite pour que tu ai ton propre raisonnement, mais comme j'ai l'impression de t'avoir un p'tit peux perturbé, je rectifie. :wink:

Cdt,
Avatar de l’utilisateur
Titofe
Vice-Amiral
Vice-Amiral
 
Messages: 599
Inscrit le: 13 Sep 2006 17:02

Re: Problème proxy ClearOS en DMZ

Messagepar Franky05 » 15 Avr 2011 14:09

Bonjour à tous,

En y remettant le nez dedans (ça faisait un bon moment.... :)), il y a une solution encore plus simple que celle qui consiste à "toucher" le fichier de conf de squid.

Si l'on veut que clearos accepte les connexions venant d'un réseau qui n'est pas le sien (lorsque celui-ci est en mode standalone), il suffit :

- de créer un fichier dans /etc/system que l'on nommera network ;
- d'ajouter dans le fichier que l'on vient de créer la ligne : EXTRALANS="192.168.1.0/24" (ou tout autre plage d'adresses IPs) ;
- de redémarrer le service squid (ou carrément le serveur) ;
- de tester la connexion au proxy.

Cordialement.

Frank.
Franky05
Aspirant
Aspirant
 
Messages: 117
Inscrit le: 25 Mars 2008 08:13


Retour vers ClarkConnect

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron